Il wiper Petya (o NotPetya/Petna), camuffato da ransomware, ha colpito migliaia di computer soprattutto in Ucraina. Dopo aver analizzato il codice del malware, Microsoft ha scoperto alcuni dettagli interessanti, suggerendo agli utenti di installare Windows 10, in quanto offre una protezione maggiore rispetto alle precedenti versioni del sistema operativo.
In base ai dati raccolti dalla telemetria, l’azienda di Redmond ha rilevato che il 70% dei PC si trova in Ucraina e sulla maggior parte di essi è installato Windows 7. Petya utilizza diverse tecniche per infettare i computer, tra cui quelle che sfruttano gli exploit EternalBlue e EternelRomance, la sovrascrittura del Master Boot Record (MBR) e la cifratura dei file con conseguente richiesta di riscatto. La probabilità di subire un simile attacco viene mitigata dalle funzionalità supportate da Windows 10, come UEFI Secure Boot, App Locker, Device Guard, Credential Guard e KASLR.
Il funzionamento del malware varia in base agli antivirus installati sul computer. Se viene rilevata la presenza del Kaspersky Antivirus, Petya distrugge i primi 10 settori del disco. Se invece viene rilevato il Symantec Antivirus, il malware non esegue la parte di codice che sfrutta la vulnerabilità SMB.
Microsoft ha infine elencato tre possibile scenari. Per i primi due esiste la possibilità di ripristinare il Master Boot Record originario e riavviare il computer. Se invece l’utente vede il messaggio con la richiesta di riscatto, i file sono persi per sempre. L’unica soluzione è usare un’immagine di backup (se esiste). In Windows 10 Fall Creators Update verranno ulteriormente migliorate le funzionalità di sicurezza.